미국 뉴욕주 금융기관에 대한 사이버보안 규정에 대한 이해②

[보안뉴스= 유효선 우리은행 정보보호부 부장 대우] 지난 2월 발표한 뉴욕주 금융기관 사이버보안 규정에 따라 전세계 금융기관은 사이버보안 규정이라는 큰 아젠다를 맞이하게 됐다. 우리나라 금융기관 역시 이러한 변화에 따라 준비할 것이 많을 터. 이에 뉴욕주 금융기관 사이버보안 규정을 자세하게 알아보고 우리나라 금융기관과 비교하는 내용을 준비했다. 이번 시간에는 지난 시간에 이어 뉴욕주 금융기관에 대한 사이버 보안규정(NYCRR 500)에서 요구하는 나머지 기준에 대하여 살펴보도록 한다.


Cybersecurity Personnel and Intelligence(사이버 보안요원 및 지능)
자격을 갖춘 정보보호 최고책임자(CISO) 지정 외에도 사이버 보안위험을 관리하고 수행할 보안전문요원을 확보해야 한다. 또한 사이버 보안요원이 새로운 보안위협에 대응하고 최신 기술을 습득할 수 있도록 교육 기회를 제공해야 한다.

Third Party Service Provider Security Policy(제3자 서비스 제공자 보안정책)
제3자 서비스 제공자가 접근할 수 있거나 제3자 서비스 제공자가 보유한 정보시스템 및 비공개 정보의 보안을 위해 마련된 서면 정책 및 절차를 이행해야 한다. 이를 위해서는 제3자 서비스 제공자를 식별하고 위험평가를 실시해야 하며 제3자 서비스 제공자와 거래를 하기 위해서는 다중요소 인증 적용, 보유 또는 전송정보의 암호화, 주요 사이버 보안이벤트 발생시 통지 등의 사이버 보안 요구사항을 충족해야 한다. 또한 주기적으로 제3자 서비스 제공자에 대한 평가를 수행해야 한다.

Multi-Factor Authentication(다중요소 인증)
비공개 정보 또는 정보시스템에 대한 비인가 접근을 방지하기 위해 다중요소 인증 또는 위험기반 인증(Risk-Based Authentication)을 해야 한다. 또한 외부 네트워크에서 내부 네트워크로 접속하는 모든 사용자에는 다중요소 인증이 적용되어야 한다.

Limitations on Data Retention(데이터 보유 제한)
법률 또는 규정에 의해 보유하여야 하는 경우 또는 폐기한 정보를 보관되어야 하는 경우를 제외하고는 비공개 정보는 안전하게 폐기하여야 한다.

Training and Monitoring(교육과 모니터링)
인가된 사용자의 활동을 감시하고 비인가자의 무단 접근을 탐지하기 위해 설계된 절차 및 통제를 모니터링 해야 한다. 모든 인력에 대하여 정기적인 사이버 보안 인식제고 교육을 실시한다.

Encryption of Nonpublic Information(비공개 정보 암호화)
보유 또는 전송하는 정보는 암호화하여야 한다. 외부 네트워크를 통해 전송되는 비공개 정보의 암호화 및 대기 중인 비공개 정보의 암호화가 불가능한 경우 CISO의 승인 하에 비공개 정보를 보호할 대체방안을 마련해야 한다.

Incident Response Plan(사고대응 계획)
정보시스템의 기밀성, 무결성, 가용성을 보장하고 비즈니스의 연속성을 제공하기 위해 사이버 보안 이벤트에 즉각적으로 대응하고 복구할 수 있는 서면으로 작성된 사고대응 계획을 수립해야 한다. 사고대응 계획에는 계획의 목표, 대응절차, 담당자의 역할 및 책임, 내·외부 정보공유 및 협력체계, 취약점 식별 및 개선, 보고절차, 정기적인 계획의 평가 및 개정 등이 포함되어야 한다.

Notices to Superintendent(감독기관 신고)
정상적인 서비스 운영에 영향을 미치는 중요 사이버 보안이벤트 발생시 72시간 이내에 감독기관에 신고해야 한다. 매년 2월 15일까지 규정의 요구사항 준수 대한 전년도 사이버 보안 준수 확인서를 작성해 감독기관에 제출해야 하며, 확인서와 관련한 모든 기록 및 일정, 증적자료는 5년 동안 유지해야 한다.

Confidentiality(기밀보장)
이 규정에 따라 해당기관이 제공한 정보는 은행법, 보험법, 금융서비스법, 공무원법 또는 기타 적용 가능한 주법 또는 연방법에 따른 공시 대상 범위에서 제외된다.

Exemptions(적용면제)
뉴욕 내 사업장이 종업원 10명 미만이거나 지난 3년의 회계연도 동안 뉴욕 내 매출이 연간 500만 달러 미만인 경우, 연말 기준 자산이 1,000만 달러 미만인 경우 이 규정의 적용이 면제된다. 규정에 따라 면제를 받고자 하는 기관은 면제 결정 후 30일 이내에 면제 통지서를 제출해야 한다. 면제 대상이 아닌 경우 회계연도 종료 후 180일 이내 본 규정의 모든 요구사항을 준수해야 한다.

Effective Date(시행일자)
이 규정은 2017년 3월 1일자로 발효된다. 해당 기관은 2018년부터 매년 2월 15일 뉴욕주 금융서비스 사이버 보안 규정 준수 확인서를 작성해 감독기관에 제출해야 한다.

Transitional Periods(유예기간)
시행일로부터 180일의 유예기간을 갖으며 다음 조항들은 추가적인 유예기간을 갖는다.
△ 1년 : 사이버 보안 프로그램에 대한 이사회 보고, 모의침투 테스트 및 취약성평가 실시, 위험평가 수행, 다중요소 인증 적용, 보안 인식제고 교육 실시
△ 18개월 : 금융거래 및 사이버 보안 이벤트에 대한 감사추적 기록 유지, 응용프로그램의 개발 보안 시행, 데이터 보유 제한, 인가된 사용자의 활동 감시 및 비인가자의 무단 접근 모니터링 실시, 비공개 정보의 암호화
△ 2년 : 제3자 서비스 제공자에 대한 보안정책 마련 및 통제 시행

다음 시간은 마지막으로 ‘국내 금융기관 정보보호 관련 법 규정과의 비교’를 통해 국내 법 규정과 어떤 차이가 있는지 살펴보고자 한다.
[글_유효선 우리은행 정보보호부 부장 대우(yhsdaum@daum.net)]

필자 소개_우리은행 유효선 부장 대우는 중앙대학교 일반대학원 융합보안학과 석사 출신으로 SK인포섹 보안기술연구소장을 역임했으며, 삼성전자 S/W개발실, 삼성SDS 정보기술연구소 등에서 업무를 수행했다. 현재는 우리은행 정보보호부에서 근무하고 있다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>